O Google Threat Intelligence Group (GTIG) publicou nesta quarta-feira (1°) a atribuição formal do ataque à cadeia de suprimentos do axios, reportado pelo TecMundo na última segunda-feira (30).O responsável é o UNC1069, grupo com ligações à Coreia do Norte ativo desde pelo menos 2018. A conclusão é baseada na análise do malware implantado e da infraestrutura de comando e controle usada no ataque.Backdoor norte-coreano em três plataformasAs cargas entregues pelo dropper às máquinas comprometidas instalam o WAVESHAPER.V2, uma versão atualizada de um backdoor para macOS e Linux anteriormente atribuído ao UNC1069. A nova versão expande o escopo, usando variantes escritas em C++, PowerShell e Python, cobrindo Windows, macOS e Linux.O WAVESHAPER.V2 é um trojan de acesso remoto, que permite ao invasor controlar a máquina infectada à distância e executar comandos nela. A cada 60 segundos, o implante bate no servidor dos atacantes aguardando instruções.No Windows, o implante garante persistência criando uma entrada chamada MicrosoftUpdate no registro do sistema para execução automática no login.Esse sinal carrega uma assinatura digital característica que o GTIG reconheceu de operações anteriores do UNC1069 e usou como uma das provas de atribuição.As capacidades incluem reconhecimento de sistema, de funções como hostname, usuário, timezone, lista de processos em execução. Também inclui execução de comandos arbitrários via shell ou injeção de PE na memória, e enumeração recursiva do sistema de arquivos.O que liga esse ataque à Coreia do NorteA atribuição ao UNC1069 se apoia em dois pontos. O primeiro é técnico, já que o WAVESHAPER.V2 compartilha com o backdoor original comportamentos de polling C2 idênticos. A mesma string de User-Agent e os mesmos diretórios temporários em macOS, Library/Caches/com.apple.act.mond.O segundo é infraestrutural, no qual o domínio C2 sfrclak[.]com, resolvendo para 142.11.206.73, apresenta conexões originadas de um nó específico da AstrillVPN com uso anterior documentado pelo grupo. A infraestrutura adjacente no mesmo bloco de rede também tem histórico associado ao UNC1069.O malware implantado é uma versão atualizada de um backdoor usado pelo grupo em campanhas anteriores.Axios não foi o único alvo recenteO GTIG ressalta que o UNC1069 não é o único grupo explorando a cadeia de suprimentos de código aberto nas últimas semanas. O UNC6780, também rastreado como TeamPCP, contaminou pacotes do GitHub Actions e do PyPI ligados a projetos como Trivy, Checkmarx e LiteLLM para implantar o stealer SANDCLOCK e viabilizar operações de extorsão. A combinação dos dois ataques pode ter colocado centenas de milhares de segredos, incluindo tokens, chaves de API, credenciais de CI/CD em circulação. Isso representa potencial imediato para novos ataques em cadeia, comprometimentos de ambientes SaaS, ransomware e roubo de criptomoedas.A atribuição foi baseada em sobreposições de infraestrutura e assinaturas técnicas reconhecidas de campanhas anteriores do UNC1069. Como se protegerPara quem ainda não tomou medidas após o primeiro alerta, ainda é possível tomar algumas ações.Não utilize as versões 1.14.1 ou 0.30.4 do axios;Fixe o pacote em 1.14.0 ou 0.30.3 no arquivo de lockfile do projeto;Inspecione a árvore de dependências em busca de plain-crypto-js versão 4.2.0 ou 4.2.1;Bloqueie tráfego para sfrclak[.]com e para o IP 142.11.206.73 e monitore logs de rede em busca de qualquer conexão a esses endpoints desde 30 de março;Se qualquer um desses artefatos for encontrado, o GTIG orienta reconstruir o ambiente a partir de um estado limpo e rotacionar imediatamente todas as credenciais acessíveis no momento da instalação.Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.